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1. Inleiding 


Het kabinet heeft naar aanleiding van het advies van de commissie Elektronisch stemmen en tellen 
in het stemlokaal (commissie Van Beek) 1 besloten om de haalbaarheid te onderzoeken van de 
invoering van stemprinters en stemmentellers. 

De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft een Deskundigengroep 
opdracht gegeven om, in het kader van het onderzoeken van de haalbaarheid, de specificaties op 
te stellen van de stemprinter en stemmenteller en daar breed draagvlak voor te zoeken. 

Dit document bevat de uitkomst van het werk van de Deskundigengroep met betrekking tot de 
specificaties. De minister van BZK kan desgewenst dit document gebruiken om aan de markt te 
vragen of het mogelijk is deze specificaties te realiseren en tegen welke prijs. 

Uitdrukkelijk wordt er op gewezen dat de Deskundigengroep zich heeft beperkt tot de specificaties 
die betrekking hebben op de stemprinter en stemmenteller zelf, de ontwikkeling ervan, de 
certificering en het gebruik bij verkiezingen. De specificaties hebben geen betrekking op de 
dienstverlening die de eventuele leveranciers zouden moeten leveren bij het gebruik, het 
onderhoud en het beheer. Te denken valt hierbij aan de aanrijdtijden voor het oplossen van 
storingen, de responstijden van een helpdesk, etc. De keuzes die daaromtrent moeten worden 
gemaakt kan de Deskundigengroep niet maken. Die moeten gemaakt worden door de 
overheidsinstantie die, als het kabinet besluit dat de invoering van de stemprinter en 
stemmenteller haalbaar en wenslijk is, de opdrachtgever wordt van de leverancier(s) van de 
dienstverlening voor het onderhoud, beheer en ondersteuning. De Deskundigengroep kan zich 
voorstellen dat de minister van BZK bij de uitvraag van de markt ook inzicht wil krijgen in de 
kosten van deze dienstverlening. In dat geval zou kunnen worden gewerkt met aannames omtrent 
het niveau van dienstverlening. 

De Deskundigengroep heeft zich er voor ingespannen dat dit document ook bruikbaar is voor de 
marktuitvraag die de minister van BZK voornemens is uit te voeren. Daarom wordt het document 
zowel in het Nederlands als in het Engels opgeleverd en bevat het, als bijlagen, informatie over 
bijvoorbeeld verkiezingskalenders en soorten stemlokalen die in Nederland bij verkiezingen 
voorkomen. 

Bij het opstellen van de specificaties heeft de Deskundigengroep diverse bronnen gebruikt, het 
betreft hier met name: 

• De aanbeveling Rec(2004)ll van De Raad van Europa, betreffende juridische, operationele en 
technische standaarden voor e-voting; 

• De adviezen van de commissie Van Beek. 


1 TK 2013-2014, 33 829 nr.1, bijlage. TK 2014-2015 33 829 nr.6, bijlagen 
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Dit document bevat een aantal bijlagen, te weten: 


• Protection Profile stemprinter 

• Protection Profile stemmenteller 

• Methode bepalen effectiviteit van maatregelen tegen compromitterende straling 
(Ballot printer - performance of eavesdropping protection - radio-frequency emissions) 

• Richtlijnen voorkomen van compromitterende straling 

(Ballot printer - protection against eavesdropping attacks - guidance for system designers) 

• Verwijdermethoden 

• Voorbeeld specificatie voor gebruikersinterface voor stemprinter 

• Locaties stemlokalen in Nederland 

• Verkiezingskalenders van verkiezingen in Nederland 
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2. Korte introductie van de stemprinter en stemmenteller 


Stemprinter 

De stemprinter is bedoeld om door de kiezer gebruikt te worden in een stemlokaal waar een 
stembureau toezicht houdt op het verloop van de verkiezing(en). De stemprinter is de 
verzamelnaam voor alle apparatuur en programmatuur waarmee de kiezer in staat wordt gesteld 
om een keuze te maken voor een verkiezing (lijstverkiezing of referendum), de keuze te 
bevestigen en een papieren stembiljet te printen. Een kiezer die het door de stemprinter geprinte 
papieren stembiljet controleert en meent dat het stembiljet niet juist is, kan de mogelijkheid 
krijgen om dit te melden bij het stembureau waarna het stembureau de kiezer de mogelijkheid kan 
geven om opnieuw een keuze met de stemprinter te maken. 

Na het papieren stembiljet te hebben gecontroleerd, vouwt de kiezer het stembiljet op de 
voorgevouwen plek en deponeert hij het stembiljet in een fysieke stembus. De stembus maakt 
geen onderdeel uit van de stemprinter. 

Het gebruik van de stemprinter om een papieren stembiljet te printen maakt het mogelijk om bij 
het stemmen het papieren stemproces leidend te laten zijn. Dat is zo, omdat de kiezer de 
mogelijkheid heeft het geprinte papieren stembiljet te lezen en dan vast te stellen of op het papier 
staat wat hij/zij daadwerkelijk heeft willen stemmen. De stemprinter wordt niet gebruikt om de 
stem vast te leggen en te tellen. Als de stemprinter, om welke reden dan ook, tijdens het gebruik 
een keuze op het stembiljet print die niet de keuze is die de kiezer heeft gemaakt, dan wordt dat 
alleen opgemerkt als de kiezers het stembiljet goed controleert. 

De stemprinter mag geen gegevens bevatten die gerelateerd kunnen worden aan de identiteit van 
een individuele kiezer. De keuze die de kiezer maakt op een stemprinter moet opgeslagen worden 
om een stembiljet te kunnen printen waar de keuze op staat. Na het printen wordt de keuze 
zodanig gewist met gebruikmaking van de verwijdertechnieken die gangbaar zijn dat alleen met 
forensische methoden sporen van de stemkeuze te achterhalen kunnen zijn. Hiermee, maar ook 
met de maatregelen die moeten worden genomen om het afgeven van zogenaamde 
compromitterende straling te beperken, moet het stemgeheim van de kiezer zo optimaal mogelijk 
worden gewaarborgd. 

Stemmenteller 


De stemmenteller is het verzamelbegrip waarmee alle apparatuur en programmatuur wordt 
bedoeld waarmee: 

• papieren stembiljetten worden gescand; 

• op een gescand stembiljet een volgnummer wordt geprint; 

• het gescande stembiljet wordt geteld; 

• de gescande stembiljetten worden uitgevoerd in de daarvoor bestemde uitvoerbakken; 

• het telresultaat wordt gegenereerd zowel in papieren- als in elektronische vorm. Het papieren 
telresultaat is een bijlage bij het proces-verbaal dat door het stembureau wordt ondertekend 
en openbaar wordt gemaakt door het op internet te zetten. 

De stemmenteller wordt door leden van het stembureau bediend als het elektronisch tellen van de 
stembiljetten in het stemlokaal plaatsvindt. In het geval het centraal stembureau tot een hertelling 
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besluit en bij die hertelling de papieren stembiljetten elektronisch worden geteld zal de bediening 
van de stemmenteller plaatsvinden door andere daartoe aangewezen personen. 

De stemmenteller moet het mogelijk maken om de stembiljetten nauwkeurig te tellen. Verder moet 
het tellen met de stemmenteller sneller zijn dan het handmatig tellen van de (huidige) papieren 
stembiljetten. 

Bij de stemmenteller wordt aan het principe dat het papier leidend is, invulling gegeven door een 
handmatige steekproefcontrole uit te voeren op de juiste verwerking van de elektronisch getelde 
stembiljetten. Als de uitkomst van deze controle daar aanleiding toe geeft moeten de stembiljetten 
alsnog handmatig worden geteld. 


3. Verkiezingen in Nederland 

Hieronder worden de verkiezingen vermeld waarvoor de stemprinter en stemmenteller gebruikt 
zullen kunnen worden als wordt besloten die systemen in te voeren, te weten: 

• Verkiezing van de gemeenteraden 

Deze verkiezing vindt 1 keer per 4 jaar plaats. 

• Verkiezing van de leden van Provinciale Staten 
Deze verkiezing vindt 1 keer per 4 jaar plaats. 

• De verkiezing van de Eilandsraden van Bonaire, Sint Eustatius en Saba 

Deze verkiezing vindt alleen in deze drie openbare lichamen plaats 1 keer in de 4 jaar. 

Deze verkiezing vindt op dezelfde dag plaats als de verkiezing van de Provinciale Staten in de 
gemeenten. In de openbare lichamen wordt de verkiezing van de Provinciale Staten niet 
gehouden. 

• De verkiezing van de besturen van de waterschappen 

Deze verkiezing vindt 1 keer per 4 jaar plaats op dezelfde dag als de verkiezing van de leden 
van Provinciale Staten. De verkiezing vindt niet plaats in de openbare lichamen Bonaire, Sint 
Eustatius en Saba. 

• De verkiezing van de leden van het Europees Parlement 
Deze verkiezing vindt 1 keer in de 5 jaar plaats. 

• De verkiezing van de leden van de Tweede Kamer 

Deze verkiezing vindt in beginsel 1 keer in de 4 jaar plaats. Echter indien het kabinet valt kan 
er tussentijds een verkiezing van de Tweede Kamer plaatsvinden. Ter illustratie hebben in de 
periode 2000 tot en met 2014 5 verkiezingen van de leden van de Tweede Kamer 
plaatsgevonden, te weten in 2002, 2003, 2006, 2010 en 2012. 

• Landelijke raadgevende referenda 

De wet raadgevend referendum maakt het mogelijk dat er landelijke raadgevende referenda 
worden gehouden. Of en zo ja, hoeveel raadgevende referenda plaats vinden en wanneer is 
onvoorspelbaar. Het is mogelijk dat er meerdere raadgevende referenda tegelijk plaatsvinden. 
Het is ook mogelijk dat er raadgevende referenda plaatsvinden in combinatie met de 
verkiezingen die op basis van de Kieswet plaatsvinden. Het is ook mogelijk dat tegelijk met een 
of meer raadgevende referenda ook een of meer locale referenda plaatsvinden. 

• Locale verkiezingen 

Gemeenten kunnen besluiten locale verkiezingen te houden voor bijvoorbeeld 
gebiedscommissies. In de praktijk worden die verkiezingen veelal gehouden op de dag dat de 
verkiezingen gehouden worden voorde gemeenteraden. 
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• Locale referenda 

Gemeenten kunnen besluiten locale referenda te houden en wanneer die gehouden moeten 
worden. 

De Nederlandse wet- en regelgeving bepaalt gedetailleerd welke formele stappen gezet moeten 
worden om een verkiezing te organiseren en om de uitslag ervan formeel te kunnen bepalen. 

De wet- en regelgeving bepaalt voor een aantal van deze stappen de (fatale) termijnen die moeten 
worden aangehouden. Bij dit document is een aantal verkiezingskalenders bijgevoegd aan de hand 
waarvan de tijdlijnen worden geïllustreerd die gelden bij verkiezingen. 

In Nederland worden landelijke verkiezingen geëvalueerd door het ministerie van Binnenlandse 
Zaken en Koninkrijksrelaties. De evaluaties zijn bedoeld om na te gaan hoe een verkiezing is 
verlopen en om te bezien wat er bij toekomstige verkiezingen beter kan. 

Lijsten, kandidaten en stemmen 

In Nederland geldt voor lijstverkiezingen geen maximum aan het aantal partijen dat deel kan 
nemen. De Kieswet hanteert het begrip 'lijst" in plaats van de term (politieke) partij. In dit stuk 
wordt verder gesproken over partij, omdat dit het begrip is dat in de praktijk wordt gebruikt. 

Het komt regelmatig voor dat bij een verkiezing meer dan 20 partijen deelnemen. Per partij 
kunnen maximaal 80 kandidaten verkiesbaar zijn. 

Een kiezer mag voor een verkiezing zelf 1 stem uitbrengen. Daarnaast kan een kiezer tegelijk met 
zijn eigen stem maximaal 2 stemmen voor 2 andere kiezers uitbrengen indien hij daartoe is 
gemachtigd (volmachtstemmen). Tussen de 10 en 15% van de stemmen wordt als volmachtstem 
uitgebracht. 

Gekozen kan worden voor een partij/kandidaat of blanco. Bij een referendumverkiezing kan men 
voor/tegen/blanco stemmen. Een blanco stem is in Nederland een geldige stem. 

Stemlokalen in Nederland 


In Nederland bepalen de gemeenten waar een stemlokaal wordt ingericht. Er gelden thans geen 
eisen cq specificaties voorde stemlokalen. Bij een landelijke verkiezing worden in Nederland ca 
10.000 stembureaus ingericht. Meestal is er 1 stembureau per stemlokaal. Het komt echter voor 
dat er meer dan 1 stembureau in 1 stemlokaal zitting heeft. 

In 2004 is Nederland begonnen met het experimenteren met het stemmen in een stemlokaal van 
eigen keuze. In 2007 is dat landelijk ingevoerd. Dit betekent dat een kiezer binnen de eigen 
gemeente zelf kan bepalen in welk stemlokaal hij/zij stemt. Als gevolg hiervan is niet meer van te 
voren te voorspellen hoeveel kiezers er (maximaal) een stem zullen uitbrengen in één bepaald 
stemlokaal. 

Omdat kiezers zelf kunnen bepalen waar ze willen stemmen, proberen gemeenten stemlokalen in 
te richten op plaatsen waar (relatief) veel kiezers gebruik van kunnen maken. Zo zijn de afgelopen 
jaren op steeds meer treinstations stemlokalen gekomen. Ook worden er steeds vaker stemlokalen 
ingericht in winkels en in winkelcomplexen. Gemeenten proberen ook, om meer kiezers te trekken, 
stemlokalen in te richten op bijzondere locaties, zoals in musea. 
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De eventuele invoering van een stemprinter en stemmenteller dient bij voorkeur geen (nieuwe) 
belemmeringen op te werpen voor het aanwijzingen van stemlokalen door de gemeenten. 
Bijgevoegd bij dit document is een beeld van de locaties waar in Nederland stemlokalen worden 
gevestigd. 


4. Begrippenlijst 
Alertering 

Melding van een beveiligingsprobleem in standaard programmatuur of apparatuur. 

Apparatuur 

Geheel van fysieke onderdelen die een stemprinter of stemmenteller vormen. 

Blanco stem 

Een door een kiezer uitgebrachte stem waarbij op het stembiljet bewust geen stemkeuze wordt 
gemaakt. 

Calamiteit 

Een gebeurtenis die ernstige gevolgen kan hebben voor de ontwikkeling, de productie, het 
onderhoud, de ondersteuning van het gebruik en het gebruik zelf van de stemprinters en 
stemmentellers. 

Common criteria (CC) 

De Common Criteria vormen een instrument voor het evalueren en beoordelen van de 
informatiebeveiliging van IT-producten en -systemen door een combinatie van de beoordeling van 
het betreffende product, de documentatie van het systeem en testen in de praktijk. 

Configureren 

Het wijzigen van instellingen op de stemprinter of een stemmenteller, zoals verkiezingsgegevens. 

Documentatie 

Alle documenten die worden opgesteld voor het ontwikkelen, produceren, onderhouden, 
verbeteren, testen, distribueren van de stemprinters, stemmentellers en elektronische tokens. 

Elektronische token 

Het middel in de vorm van een smartcard dat wordt gebruikt om een stemprinter of een 
stemmenteller te kunnen gebruiken. 

Foutsituaties 

Situaties die niet bij de goede werking van de stemprinter en stemmenteller horen. 

Fysieke knoppen 

Toetsen waarmee een stemprinter door een keizer kan worden bediend om een stemkeuze te 
maken, zonder gebruik te maken van het aanraakscherm. 

Functionaliteit 

De mogelijkheden die een gebruiker heeft met een stemprinter of een stemmenteller. 
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Gebruikersinterface 

De wijze waarop de stemprinter of stemmenteller door een gebruiker wordt bediend. 


Handmatig ingevuld model stembiljet 

Een stembiljet van papier, dat de kiezer met een voorgeschreven kleur potlood handmatig moet 
invullen, waarop de keuze van één kiezer voor één verkiezing is weergegeven. 

Hertelling 

De situatie waarin het centraal stembureau besluit de uitgebrachte stemmen nogmaals te laten 
tellen nadat de voorlopige uitslag bekend is gemaakt. 

Incident 

Een gebeurtenis die negatieve gevolgen heeft voor de werking van stemprinters en stemmentellers 
of de ontwikkeling, onderhoud en ondersteuning daarvan. 

Kandidaat 

Een persoon die zich kandidaat heeft gesteld voor een verkiezing. Die kandidaat kan zich eerst 
aansluiten bij een politieke partij of een nieuwe partij oprichten, maar dat is niet noodzakelijk. 
Zowel politieke groeperingen als personen kunnen meedoen met de verkiezingen door een 
kandidatenlijst in te leveren. Op deze lijst staan alle mensen die gekozen kunnen worden. 

Lijstverkiezing 

Verkiezing waarbij een stem uitgebracht kan worden op één kandidaat van een lijst (politieke 
partij). 

Matig fysiek geweld 

Het bestand zijn van de stemprinter en stemmenteller tegen te verwachten 

gebruikersomstandigheden zoals: vervoeren, verplaatsen, verschuiven, aanstoten, duwen en klap 
op geven, etc. 

Melding 

Een signaal van de stemprinter en stemmenteller om een status aan te geven of aan te geven dat 
er actie nodig is van de gebruiker om ervoor te zorgen dat de stemprinter en stemmenteller goed 
blijven functioneren. De stemprinter geeft bijvoorbeeld een melding als de voorraad papier waar de 
keuze van de kiezer op wordt geprint aangevuld moet worden. 

Moedervel 

Een moedervel bevat voorgedrukte (stem)vakjes en merktekens op alle door de waar te nemen 
responsposities, in casu alle mogelijke stemvakjes voor lijsten, en alle mogelijke stemvakjes voor 
kandidaten. 

Open source 

Open source beschrijft de praktijk dat de bronmaterialen (de source) van het eindproduct 
publiekelijk beschikbaar zijn. 

Open standaarden 

Een open standaard (of norm) is publiekelijk beschikbaar. De specificaties van de standaard mogen 
vrij van licentierechten worden toegepast, gebruikt en gehanteerd. Open standaarden waarborgen 
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de uitwisselbaarheid tussen verschillende informatiesystemen. Open standaarden vergroten de 
keuzevrijheid en beperken daarmee de afhankelijkheden van leveranciers. 


Optical Character Recognition (OCR) 

Uit een afbeelding door middel van patroonherkenning de tekens uit de afbeelding herkennen en 
opslaan. 

Overheid 

Organisatie of instantie die een overheidstaak uitvoert in het kader van de organisatie en de 
uitvoering van verkiezingen. 

Public Key Infrastructure (PKI) 

Het geheel van apparatuur, programmatuur en procedures waarmee uitgifte en beheer van 
certificaten wordt gerealiseerd zodat betrouwbare elektronische communicatie mogelijk is. 

Protection profile 

In een Protection Profile (PP) wordt een set implementatie-onafhankelijk beveiligingsvereisten en 
doelstellingen voor een bepaald type IT-producten of -systemen gedefinieerd. 

Referendum 

Een volksraadpleging of referendum is het voorleggen van een vraag met betrekking tot wetgeving 
aan de kiesgerechtigden in een land of een bepaald gebied. Dit voorleggen gebeurt door een 
bepaalde overheid (al of niet in opdracht van de desbetreffende bevolking). Net als bij verkiezingen 
komen de kiesgerechtigden naar het stembureau of stemmen op afstand en maken hun keuze met 
betrekking tot de vraag. In Nederland kunnen landelijke raadgevende referenda en lokale 
gemeentelijke referenda worden gehouden. 

Referendumvraag 

De vraag die bij een referendum op het stembiljet staat. De kiezer kan voor, tegen of blanco 
stemmen. 

Robuust 

De eigenschap dat een product onafhankelijk van externe omstandigheden of factoren naar 
behoren blijft functioneren. 

Stembiljet 

Papier waar de keuze van één kiezer voor één verkiezing op wordt of is weergegeven. 

Stembureau 

Het stembureau is het orgaan dat in een stemlokaal toezicht houdt op het verloop van de 
verkiezing, de uitgebrachte stemmen telt en een proces-verbaal opmaakt waarin verantwoording 
wordt afgelegd over het verloop van de verkiezing en de uitkomst van de bij het stembureau 
uitgebrachte stemmen. 

Stembureaunummer 

Het nummer dat de gemeente aan een stembureau toekent. 

Stemlokaal 

De fysieke locatie waar een stembureau zitting houdt en waar voor een verkiezing een stem kan 
worden uitgebracht. Binnen één gemeente kan de kiezer bij het de verkiezingen zelf bepalen waar 
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hij/zij gaat stemmen. Bij verkiezingen waar op 1 dag in alle gemeenten kan worden gestemd zijn 
er ca 10.000 stemlokalen in gebruik. De gemeenten bepalen waar een stemlokaal wordt ingericht. 

Stemkeuze 

De stem van de kiezer op een kandidaat van een partij of het antwoord op een referendumvraag. 

Stemmenteller 

Computer waarmee stembiljetten worden geteld en het resultaat daarvan wordt geprint en op een 
extern medium wordt opgeslagen. 

Stemming 

De stemming is de periode waarin er gestemd kan worden. In Nederland is dat van 07.30 uur tot 
21.00 uur. 

Stemopneming 

Het proces na de stemming waarin het stembureau het aantal toegelaten kiezers telt, de 
stembiljetten in de stembus telt en het proces-verbaal opstelt en ondertekent. De Stemopneming 
gebeurt in het openbaar. 

Stemprinter 

Computer waarmee de kiezer een stemkeuze maakt en op een stembiljet print. 

Telstrook 

Bevat op papier het resultaat van het scannen en tellen van stembiljetten. Zowel totalen als de 
herkende stemkeuze per geteld stembiljet. 

Te verwachten gebruiksomstandigheden 

De gebruikersomstandigheden die te verwachten zijn bij het normaal gebruik van de stemprinter 
en stemmenteller zoals vervoeren, verplaatsen, aanstoten, duwen etc. 

Verkiezingen 

De verkiezingen die zijn geregeld in de Kieswet, in de Tijdelijke Referendumwet en verkiezingen 
van gemeenten die zijn geregeld in gemeentelijke verordeningen die zijn gebaseerd op de 
Gemeentewet. 

Volmachtstem 

Een kiezer die gelijk met zijn eigen stem met een volmacht van een andere kiezer gelijk daarvoor 
een stem uitbrengt. Een kiezer mag tegelijk met zijn eigen stem maximaal 2 volmachtstemmen 
uitbrengen. 
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5. Specificaties 


Hieronder zijn de specificaties weergegeven voor de stemprinter en stemmenteller. De specificaties 
omvatten ook de elektronische tokens die nodig zijn om een stemprinter of stemmenteller te 
kunnen activeren en gebruiken. 

Achtereenvolgens zijn de specificaties opgesteld over: 

• Transparantie ten aanzien van stemprinter en stemmenteller 

• Documentatie over stemprinter en stemmenteller 

• Functionaliteit en bediening algemeen 

• Functionaliteit en bediening stemprinter 

• Functionaliteit en bediening stemmenteller 

• Stembiljet dat door stemprinter wordt geprint 

• Apparatuur 

• Standaarden en normen 

• Prestaties 

• Beveiliging - Common Criteria 

• Beveiliging - compromitterende straling 

• Beleid ten aanzien van beveiliging 

• Ontwikkeling en doorvoeren van wijzigingen van de stemprinter, de stemmenteller en 
elektronisch tokens 

• Fysieke distributie, onderhoud en ondersteuning 


Transparantie ten aanzien van stemprinter en stemmenteller 

Richting de overheid wordt volledige openheid betracht en wordt op geen enkele wijze informatie 
afgeschermd. 

De stemprinter en stemmenteller zijn zonder beperkingen te gebruiken. Licenties van gebruikte 
standaardcomponenten mogen bijvoorbeeld niet leiden tot beperkingen bij het gebruik en de inzet 
van stemprinters en stemmentellers. 

Uitgangspunten , ontwerpkeuzen etc. die worden gehanteerd cq gemaakt in het kader van de 
ontwikkeling, de productie, het beheer en de ondersteuning van het gebruik van de stemprinters, 
stemmentellers en elektronische tokens worden gedocumenteerd. Dit geldt ook in het geval het 
gaat om toepassing van standaarden. Te maken keuzen worden altijd aan de overheid voorgelegd. 

Alles (w.o. ontwerpen, documentatie, de broncode van programmatuur, de ontwikkelomgeving, 
specificaties van apparatuur, werkinstructies, registraties, etc.) wat zal worden ontwikkeld/ 
opgesteld/ aangepast/ bijgehouden moet worden, dan wel zal gaan worden ingezet is voor de 
overheid (dan wel voor partijen die namens de overheid opereren) volledig toegankelijk en kan 
door de overheid openbaar worden gemaakt. 

De overheid kan op elk moment onderzoeken, testen, audits, reviews, broncode-analyses, contra- 
expertises, etc. laten uitvoeren onder andere om de goede werking van de programmatuur en de 
apparatuur vast te stellen. De uitkomsten daarvan kunnen zonder restricties door de overheid 
openbaar worden gemaakt. 
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Er is een (door de overheid in te stellen) onafhankelijke instantie die in opdracht van de overheid 
controleert dat de stemprinters en stemmentellers correct functioneren en dat de noodzakelijke 
beveiligingsmaatregelen zijn genomen. Deze onafhankelijke instantie maakt de uitkomsten van de 
controle openbaar. Deze controle vindt in ieder geval plaats voorafgaand aan een verkiezing en als 
er wijzigingen in de apparatuur en programmatuur moeten worden aangebracht. In dat laatste 
geval bepaalt de onafhankelijke instantie of een nieuwe certificering noodzakelijk is. 

Documentatie over stemprinter en stemmenteller 

In systeem- en gebruikershandleidingen moet in ieder geval de werking van de functionaliteiten 
van de geleverde apparatuur en programmatuur zijn beschreven. De foutmeldingen/ foutcodes die 
kunnen voorkomen moeten in deze documenten uitputtend zijn beschreven. 

Documentatie die wordt opgesteld voor het ontwikkelen, produceren, onderhouden, verbeteren, 
testen, distribueren van de stemprinters, stemmentellers en elektronische tokens dient altijd 
actueel te zijn. Het actueel zijn van de documentatie moet controleerbaar zijn voor de overheid 
onder meer aan de hand van het gevoerde versiebeheer. 

De documentatie dient begrijpelijk te zijn voor de gebruikers, waaronder medewerkers van 
gemeenten en (voorzover van toepassing) leden van stembureaus. De documentatie is in het 
Nederlands gesteld. Om vast te stellen dat de documentatie begrijpelijk is worden gebruikerstesten 
gehouden. De overheid bepaalt de wijze waarop de gebruikerstesten worden georganiseerd. 

Functionaliteit en bediening algemeen 

De stemprinter en stemmenteller functioneren geheel op zichzelf (stand-alone) en zijn tijdens 
gebruik voor verkiezingen niet verbonden met andere apparatuur, uitgezonderd de tijdelijke 
verbinding met elektronische tokens op het moment dat deze worden gebruikt voor het activeren, 
en bediening uitgezonderd. 

De overheid bepaalt de gebruikersinterface voor de stemmenprinter en stemmenteller, inclusief de 
eigenschappen van de apparatuur voor de gebruikersinterface en de indeling en opmaak van het 
door de stemprinter te printen stembiljet. Bij de ontwikkeling van de gebruikersinterface betrekt de 
overheid gebruikers, waaronder potentiële kiezers en personen die ervaring hebben als 
stembureaulid. Een indicatief voorbeeld van de gebruikersinterface voor de stemprinter inclusief 
indeling en opmaak stembiljet is bijgevoegd bij dit document. 

De uitwerking van de gebruikersinterface vindt in een aantal iteraties plaats. Op basis van de 
specificatie van de overheid moeten werkende proefmodellen van de gebruikersinterface worden 
ontwikkeld. Deze proefmodellen worden vervolgens door de overheid uitgeprobeerd met 
proefpersonen die representatief zijn voor de kiezers die gebruik gaan maken van de stemprinter 
en stembureauleden die gebruik gaan maken van de stemmenteller. Naar aanleiding van de met 
proefpersonen opgedane ervaring worden de specificaties van de gebruikersinterface waarnodig 
herzien en de proefmodellen aangepast. 

De stemprinter en stemmenteller moet in de diversiteit van stemlokalen die in Nederland 
voorkomen gebruikt kunnen worden. 
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Eén stemprinter of één stemmenteller moet door 1 persoon binnen 5 minuten opgesteld en 
afgebouwd kunnen worden. Dit is inclusief de tijd die nodig is om de stemprinter of stemmenteller 
uit de verpakking te halen en weer in te pakken. 

Om tijdens de stemming blanco stembiljettenpapier, papier voor de stemmenteller (voor het 
telresultaat) en andere verbruiksartikelen te vervangen zijn geen hulpmiddelen nodig. 

Voor meldingen van stemprinter en stemmenteller geldt: 

• Statusmeldingen dienen visueel te worden weergegeven. 

• Foutmeldingen moeten worden geformuleerd in begrijpelijke processtappen zodat de gebruiker 
weet wat er moet gebeuren. 

• Uit de melding moet eenduidig blijken of een probleem door een handeling van het stembureau 
is te verhelpen danwel dat een helpdesk moet worden ingeschakeld. 

• De urgentie moet eenduidig uit de melding blijken, bijvoorbeeld door kleuren te gebruiken. 

De stemprinter en stemmenteller beschikken over de volgende beheer- en 
onderhoudfunctionaliteit: 

• Uitlezen en na gebruik weer teruggeven van een elektronische token waarna stemprinter en 
stemmenteller kunnen worden geconfigureerd. 

• Configureren van een stemprinter/stemmenteller met de gegevens voor een of meerdere 
verkiezingen. De configuratie kan alleen plaatsvinden als de stemprinter/stemmenteller de 
vereiste versie van de programmatuur heeft die in de verkiezingsgegevens is vemeld. 

• Koppelen door ambtenaren van de gemeente van de elektronische tokens aan de 
stemprinter/stemmenteller. 

• Instellen door ambtenaren van de gemeente voor welke verkiezing(en) de stemprinter kan 
worden gebruikt en voor welke verkiezingen de stembiljetten door de stemmenteller kunnen 
worden geteld. 

• Instellen door ambtenaren van de gemeente per verkiezing welke elektronische tokens worden 
gebruikt om de stemprinter voor de betreffende verkiezing te activeren. 

• Invoeren door ambtenaren van de gemeente van het nummer van het stemlokaal waar een 
stemprinter/stemmenteller zal worden gebruikt (wordt geprint op stembiljet). 

• Het wissen (deconfigureren) van de log en verkiezingsgegevens. Verwijdering dient pas plaats 
te vinden nadat de uitslag van de verkiezing onherroepelijk is geworden. 

• Voorzien van een stemprinter/stemmenteller van updates van programmatuur en instellingen. 

De stemprinter en stemmenteller beschikken over de volgende verantwoordings- en 
controlefunctionaliteit: 

• De stemprinter/stemmenteller houdt een log bij met alle gebeurtenissen en gegevens die zijn 
verwerkt, waaronder de handelingen die met de stemprinter/stemmenteller zijn uitgevoerd, de 
verwerking die heeft plaatsgevonden, de foutsituaties die zijn opgetreden en de beveiliging 
gerelateerde gebeurtenissen, met uitzondering van de gebeurtenissen en gegevens waaruit een 
stemkeuze is te herleiden. 

• De log van de stemprinter/stemmenteller kan worden gekopieerd om te analyseren. 

• De programmatuur, instellingen in de programmatuur en verkiezingsgegevens kunnen van de 
stemprinter/stemmenteller worden gekopieerd om te analyseren. 
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Functionaliteit en bediening stemprinter 


De stemprinter beschikt over de volgende functionaliteit: 

• Uitlezen en inslikken van het elektronisch token waarmee de stemprinter door een kiezer wordt 
geactiveerd voor het maken van een stemkeuze voor een verkiezing. Met 1 elektronisch token 
mag precies 1 stembiljet worden geprint. 

• Maakt gebruik van een 24inch drukgevoelig aanraakscherm met landscape oriëntatie en anti- 
reflectiescherm. 

• Moet te bedienen zijn met het aanraakscherm of met fysieke knoppen. 

• Bij bediening met aanraakscherm mogelijkheid tot ondersteuning met audio. 

• Mogelijkheid tot bediening van de stemprinter met enkel de fysieke knoppen in combinatie met 
audio zonder invoer en weergave op het aanraakscherm. 

• Tonen aan kiezer voor welke verkiezing een stemkeuze gemaakt kan worden. 

• Door de kiezer selecteren van een partij, waarbij alle partijen op 1 scherm worden getoond. 

• Binnen een geselecteerde partij selecteren van een kandidaat. Omdat in Nederland partijen 
maximaal 80 kandidaten verkiesbaar mogen stellen worden de kandidaten niet op 1 scherm 
getoond, maar in opeenvolgende schermen. Maximaal worden op 1 scherm 20 kandidaten 
getoond. 

• Kiezen voor blanco stem. 

• Kiezen van ja, nee of blanco als antwoord op een referendumvraag. 

• Tonen van de gemaakte stemkeuze. De stemprinter moet de keuze van de kiezer tonen en niet 
iets anders. 

• Bevestigen van de gemaakte stemkeuze. 

• Printen op het stembiljet in zwart/wit of in kleur en dubbelzijdig van de stemkeuze die de 
kiezer heeft bevestigd. Op het stembiljet wordt geprint: verkiezing, datum verkiezing, nummer 
stembureau, zowel op voorkant als achterkant. 

Bij lijstverkiezing wordt verder op voorkant stembiljet geprint: gekozen lijst (+ logo gekozen 
lijst), gekozen kandidaat (+ eventueel foto gekozen kandidaat) of blanco. 

Bij referendum wordt verder op voorkant stembiljet geprint: referendumvraag, voor of tegen of 
blanco. De stembiljetten moeten met de kant waar de stemkeuze op staat naar onder worden 
uitgevoerd, zodat de kiezer het stembiljet moet uitnemen om de geprinte stemkeuze te zien en 
te controleren. 

• Voorlezen van teksten en instructies (audio-ondersteuning) via een koptelefoon; 

• De koptelefoon moet een zogenaamde "studio koptelefoon" zijn die in staat is om maximaal het 
omgevingsgeluid te dempen en het geluid dat uit de koptelefoon "ontsnapt" te minimaliseren. 

• Het volume van de koptelefoon moet instelbaar zijn. 

• Detecteren en melding geven (visueel en auditief) dat voorraad papier waarop stembiljet wordt 
geprint op is en bijgevuld moet worden. 

• Detecteren en melding geven over problemen en/of foutsituaties. 

• Bij stroomuitval de programmatuur, waaronder het besturingssysteem, afsluiten en daarna 
stemprinter uitzetten. 

• De printer in de stemprinter (waarmee het stembiljet wordt geprint) start direct na het door de 
kiezer bevestigen van de stemkeuze. Er dient geen merkbare opwarmtijd te zijn van de printer. 
Het printen van één stembiljet zou, te rekenen vanaf het moment van bevestigen van de keuze 
door de kiezer, maximaal 3 seconden moeten duren. 

• De stemprinter moet toegankelijk zijn voor kiezers met een lichamelijke en/of een visuele 
beperking. De stemprinter is zowel zittend als staand te gebruiken. De schermhoek moet voor 
deze uiteenlopende gebruikssituaties geoptimaliseerd zijn. 

• Meekijken op het beeldscherm en de fysieke knoppen van de stemprinter moet voorkomen 
worden. De totale opstelling en constructie rond de stemprinter is zodanig gemaakt dat iemand 
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anders dan de kiezer niet kan zien welke stemkeuze door de kiezer wordt/is gemaakt. Dit moet 
zodanig uitgevoerd worden dat ook als de stemprinters naast elkaar worden geplaatst het niet 
mogelijk is mee te kijken met wat een kiezer op de stemprinter doet. 

• Mogelijkheid voor stembureauleden om de elektronische tokens waarmee een stemprinter voor 
een kiezer wordt geactiveerd uit de stemprinter te halen om de elektronische tokens opnieuw 
voor activering te gebruiken. 

• De stemprinter kan een voorraad van minimaal 500 te beprinten stembiljetten bevatten. 

Ter verduidelijking van de hiervoor beschreven functionaliteiten is hieronder uitgeschreven hoe de 
kiezer met de stemprinter een keuze zou kunnen maken. 

• De stemprinter kent de volgende vier wijzen van bedienen: 

1. Aanraakschermmodus: de kiezer kan door het scherm aan te raken de geboden keuzes 
maken cq bevestigen. Dit is voor een kiezer de standaard wijze van bedienen. 

2. Aanraakschermmodus met audio-ondersteuning: de kiezer krijgt via de koptelefoon 
voorgelezen hoe hij de stemprinter kan bedienen en welke opties er mogelijk zijn. Door 
vervolgens het scherm aan te raken kan de kiezer de geboden keuzes maken cq 
bevestigen. 

3. Scherm met fysieke knoppen modus: de kiezer bedient de stemprinter met de fysieke 
knoppen. De keuzes en terugkoppeling worden aangeboden via het scherm. 

4. Audio-interactiemodus: de kiezer bedient de stemprinter alleen met fysieke knoppen en via 
een koptelefoon uitgesproken teksten. Via de koptelefoon wordt een instructie gegeven 
over de keuzes die een kiezer kan maken en hoe de kiezer door de keuzen moet lopen en 
een keuze kan bevestigen. 

• De kiezer krijgt na het invoeren van het elektronisch token voor de activering te zien/te horen 
voor welke verkiezing een stemkeuze gemaakt kan worden. 

• Voor een lijstverkiezing moet een kiezer eerst een partij selecteren en vervolgens van die partij 
een kandidaat. In plaats van een partij te selecteren kan de kiezer ook een keuze maken voor 
een blanco stem. Op het aanraakscherm worden kandidaten van een partij per 20 
weergegeven, met opties om indien van toepassing de volgende en/of vorige 20 weer te 
geven. 

• Voor een referendum krijgt de kiezer de referendumvraag te zien/horen en moet deze een 
keuze maken uit de opties voor, tegen of blanco. 

• Alvorens een stembiljet te printen moet de stemkeuze eerst nog worden bevestigd. 

• De kiezer heeft totdat een stemkeuze is bevestigd de optie om een stap terug te gaan. 

• Na printen van het stembiljet moet de kiezer die niet werkt in de audio-interactiemodus 
aangeven of het geprinte stembiljet juist is of onjuist. Geeft de kiezer aan dat het stembiljet 
onjuist is, dan krijgt de kiezer de melding om zich met het geprinte stembiljet dan wel de 
geprinte stembiljetten te melden bij het stembureau. 

• Geeft de kiezer aan dat het stembiljet juist is dan wordt aan de kiezer gevraagd of hij nog een 
andere keuze mag maken. Dat laatste is alleen het geval als op 1 dag meer dan 1 verkiezing 
wordt gehouden of als de kiezer nog volmachtstemmen kan uitbrengen. Geeft de kiezer aan 
niet nog een keuze te willen maken, dan krijgt de kiezer het verzoek het geprinte stembiljet 
dan wel de geprinte stembiljetten in de stembus te doen. 
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Functionaliteit en bediening stemmenteller 


De stemmenteller beschikt over de volgende functionaliteit: 

• Maakt gebruik van Optical Character Recognition (OCR). 

• Uitlezen en na gebruik weer teruggeven van een elektronische token waarna stemmenteller 
voor het tellen ven stembiljetten kan wordt geactiveerd door het stembureau. 

• Het selecteren van de verkiezing waarvoor stembiljetten gaan worden geteld. 

• Het (zo nodig tweezijdig) scannen van een stembiljet dat door een printer is gegenereerd en 
het scannen van een stembiljet waar de kiezer, bijvoorbeeld door het inkleuren of aankruisen 
van een vakje, handmatig een keuze op heeft bepaald. 

• Controleren dat op een stembiljet de geselecteerde verkiezing en datum van de verkiezing is 
vermeld waarvoor het stembiljet geteld wordt. Indien op het stembiljet niet de verkiezing en 
datum van de verkiezing is vermeld waarvoor wordt geteld, dan het stembiljet doorvoeren naar 
uitvoerbak voor niet getelde stembiljetten. 

• Het door de bediener van de stemmenteller ingeven van het stembureaunummer waarvoor 
stembiljetten worden geteld. Standaard is dat het stembureaunummer dat bij de configuratie 
voorafgaand aan de verkiezing is ingesteld. 

• Voor een door de stemprinter geprint model stembiljet controleren dat het stembureaunummer 
op het stembiljet overeenkomt met het stembureaunummer dat in de stemmenteller is 
ingesteld/ingevoerd. Komt dit stembureaunummer niet overeen, dan wordt het stembiljet 
doorgevoerd naar de uitvoerbak voor niet getelde stembiljetten. 

• Controleren dat op de positie waar het volgnummer moet worden geprint voor de telling niet al 
een volgnummer staat. Staat er al wel een volgnummer, dan het stembiljet doorvoeren naar 
uitvoerbak voor niet getelde stembiljetten. 

• Controleren dat het stembiljet - afgezien van de aangebrachte stemkeuze en eerder 
aangebrachte volgnummers - niet afwijkt van het moedervel van het stembiljet. Is er wel een 
afwijking, dan wordt het stembiljet doorgevoerd naar de uitvoerbak voor niet getelde 
stembiljetten. 

• Een handmatig ingevuld model stembiljet dat niet met een voorgeschreven kleur is ingevuld 
doorvoeren naar de uitvoerbak voor niet getelde stembiljetten. 

• Een handmatig ingevuld model stembiljet waarvan de tolerantieruimte om een vakje is 
ingekleurd maar het vakje zelf niet, doorvoeren naar de uitvoerbak voor niet getelde 
stembiljetten. 

• Bepalen van de op een stembiljet uitgebrachte stem (lijst en kandidaat, referendum keuze dan 
wel blanco). Als de stemkeuze niet eenduidig bepaald kan worden, dan wordt het stembiljet 
doorgevoerd naar de uitvoerbak voor niet getelde stembiljetten. 

• De stemmenteller mag maximaal 1% van de gescande stembiljetten waarvan de stemkeuze te 
herkennen is doorvoeren naar de uitvoerbak met niet getelde stembiljetten. 

• Als de uitkomst van alle controles (die de stemmenteller uitvoert op het gescande stembiljet) 
succesvol zijn en de stemmenteller eenduidig de keuze op het stembiljet kan bepalen, dan 
wordt aan het stembiljet een oplopend volgnummer toegekend en geprint op de voorzijde van 
het stembiljet, waarna het stembiljet wordt doorgevoerd naar de uitvoerbak met getelde 
stembiljetten. 

• Het volgnummer, datum/tijd en de herkende stemkeuze wordt opgeslagen in de 
stemmenteller. 

• De stembiljetten die door de stemmenteller in de uitvoerbak voor getelde stembiljetten worden 
geplaatst moeten juist zijn geteld. Er mogen geen stembiljetten in de uitvoerbak voor getelde 
stembiljetten terecht komen die niet door de stemmenteller geteld zijn. 

• De stemmenteller mag stembiljetten niet zodanig beschadigen dat visuele beoordeling door het 
stembureau niet meer mogelijk is. 


15 



• De stemmenteller mag niets aan gescande stembiljetten veranderen, met uitzondering van het 
op getelde stembiljetten afdrukken van een volgnummer. 

• Geeft melding (visueel en auditief) als invoerlade leeg is en bijgevuld kan worden. 

• Geeft melding (visueel en auditief) als invoerlade te veel stembiljetten bevat. 

• Geeft melding (visueel en auditief) als een stapel getelde stembiljetten uit de uitvoerlade voor 

getelde stembiljetten gehaald kan worden. 

• Geeft melding (visueel en auditief) als de uitvoerbak voor niet getelde stembiljetten vol is en 
geleegd moet worden. 

• De bediener van de stemmenteller moet kunnen invoeren dat er geen stembiljetten van een 
stembus meer te scannen zijn. 

• Bij lijstverkiezing: Bepalen van het aantal stembiljetten, van het aantal stemmen per partij, 
van het aantal stemmen per kandidaat en blanco stemmen. 

• Bij Referendum: Bepalen van het aantal stembiljetten, van het aantal stemmen voor, tegen en 
blanco. 

• Opslaan telresultaat. 

• Kopiëren van het telresultaat in eml-formaat (election markup language) naar een extern 
opslag medium. 

• Afdrukken van het telresultaat met als bijlage van elke geteld stembiljet het toegekende 
volgnummer en de herkende stemkeuze. 

• Opnieuw afdrukken van een (eerder) telresultaat, inclusief bijlage met daarop van elke geteld 
stembiljet het volgnummer en de herkende stemkeuze. 

• Detecteren en melding geven (visueel en auditief) dat papier voor printen telresultaat op is en 
bijgevuld moet worden. 

• Detecteren en melding geven over problemen en/of foutsituaties. 

• Bij stroomuitval de programmatuur, waaronder het besturingssysteem, afsluiten en daarna 
stemmenteller uitzetten. 

Voor de invoer van de stemmenteller geldt: 

• De stemmenteller kan stembiljetten verwerken die gevouwen zijn geweest en handmatig zijn 
opengevouwen. 

• Stembiljetten moeten stapelsgewijs ingevoerd kunnen worden. Een stapel kan minimaal 1 en 
maximaal 500 stembiljetten bevatten. 

• De stemmenteller heeft een visuele markering voor de maximale invoercapaciteit. 

• De stemmenteller heeft een fysieke beperking die er voor zorgt dat er niet meer stembiljetten 
ingevoerd kunnen worden dan de maximale invoercapaciteit. 

• De stembiljetten in een stapel stembiljetten die in de stemmenteller wordt ingevoerd mogen 
ten opzichte van elkaar iets verschoven zijn. Een stapel in de stemmenteller in te voeren 
stembiljetten hoeft enkel zoveel als mogelijk is door schudden en aanslaan op een vlakke tafel 
aaneengesloten op elkaar te liggen. 

• De stemmenteller dient een invoerlade te hebben met een vormgeving en geleiding die helpt 
bij het aaneengesloten op elkaar liggen van de stembiljetten. 

• De stembiljetten worden met de voorkant naar onder in de uitvoerbakken gedeponeerd. 

Voor de uitvoer van de stemmenteller geldt: 

• De stemmenteller dient minimaal 2 uitvoerbakken te hebben, 1 voor de stembiljetten die door 
de stemmenteller zijn geteld en 1 voor stembiljetten die ongeteld zijn doorgevoerd. 

• De uitvoerbakken hebben een kleurcodering. Groen voor de uitvoerbak met de getelde 
stembiljetten en rood voor de bak met de stembiljetten die ongeteld zijn doorgevoerd. 

• De uitvoerbak bak met de stembiljetten die ongeteld zijn doorgevoerd moet deels transparant 
zijn. 
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• De uitvoerbak met de stembiljetten die ongeteld zijn doorgevoerd moet afgesloten zijn tot het 
moment dat de bediener van de stemmenteller ingevoerd heeft dat geen stembiljetten van een 
stembus meer te scannen zijn. De andere situatie waarin de uitvoerbak open gemaakt moet 
kunnen worden is als de stemmenteller de melding geeft dat de uitvoerbak vol dreigt te raken. 

• Stembiljetten die niet met de voorgeschreven kant naar onder of boven zijn ingevoerd, dienen 
uitgevoerd te worden in de bak stembiljetten die niet elektronisch geteld kunnen worden. 

• De uitvoerbakken dienen een capaciteit te hebben van in ieder geval 500 stembiljetten. 

• De stemmenteller geeft tijdens het telproces terugkoppeling over het aantal getelde en het 
aantal ongetelde doorgevoerde stembiljetten. 

• Ten behoeve van een controle van getelde stembiljetten, moet de stemmenteller de 
stembiljetten in stapels (batches) met een vaste grootte van 100 uitvoeren naar de uitvoerbak 
voor getelde stembiljetten. De stemmenteller dient te pauzeren na het tellen van 1 batch van 
100 getelde stembiljetten, zodat de gebruiker de stapel uit de uitvoerbak voor getelde 
stembiljetten kan halen. 

• Omdat het volgnummer op een geteld stembiljet op de voorkant van het stembiljet wordt 
geprint, moeten de stembiljetten met de voorkant naar onder uitgevoerdworden naar de 
uitvoerbak. 

Voor de telstrook met het telresultaat geldt: 

• De telstrook heeft het formaat A4 of een ander kleiner standaardformaat. 

• De telstrook dient voor een lijstverkiezing de volgende informatie te bevatten: 

• Het nummer van het stembureau waarvan de stembiljetten zijn geteld; 

• De naam van de verkiezing; 

• De datum van de verkiezing; 

• Het aantal voor die verkiezing getelde stembiljetten; 

• Het aantal niet getelde stembiljetten; 

• Het aantal getelde stemmen per partij; 

• Het aantal getelde stemmen per kandidaat van een partij; 

• In het geval van een handmatig ingevuld model stembiljet dat toestaat wel een partij maar 
geen kandidaat in te vullen: het aantal stemmen per partij waarbij geen kandidaat is 
gekozen; 

• Het aantal getelde blanco stembiljetten. 

• De telstrook dient bij een lijstverkiezing voor elk geteld stembiljet de volgende informatie te 
bevatten: 

• Het aan het stembiljet toekende volgnummer; 

• Het nummer van de partij; 

• Het nummer van de kandidaat, of in het geval het model stembiljet toestaat geen 
kandidaat in te vullen wordt het nummer van de kandidaat leeg gelaten; 

• Of de vermelding blanco. 

• De telstrook dient voor een referendumverkiezing de volgende informatie te bevatten: 

• Het nummer van het stembureau waarvan de stembiljetten zijn geteld; 

• De naam van het referendum; 

• De datum van het referendum; 

• Het aantal voor het referendum getelde stembiljetten; 

• Het aantal niet getelde stembiljetten; 

• Het aantal getelde stemmen voor; 

• Het aantal getelde stemmen tegen; 

• Het aantal getelde blanco stemmen. 
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• De telstrook dient bij een referendumverkiezing voor elk geteld stembiljet de volgende 
informatie te bevatten: 

• Het aan het stembiljet toekende volgnummer; 

• Voor, tegen of blanco. 

Voor meldingen van de stemmenteller geldt: 

• De stemmenteller heeft een display voor meldingen aan de gebruiker. 

• De stemmenteller dient "zorgen" over het functioneren van de stemmenteller bij de gebruiker 
weg te nemen door tijdens het elektronisch telproces stapsgewijs positieve feedback te geven 
over de voortgang. 

• Detecteert de stemmenteller een storing dan wordt het telproces gepauzeerd en de status via 
een display gemeld aan de gebruiker. 

Stembiljet dat door stemprinter wordt geprint 

Het stembiljet dat door de stemprinter wordt geprint heeft een door de overheid te bepalen 
formaat. Uitgegaan kan worden van A4 of een kleiner standaardformaat. 

Het stembiljet heeft een echtheidskenmerk. Voor het echtheidskenmerk van een stembiljet kan 
worden uitgegaan van een hologramfolie met bedrukking of een perforatie. Het echtheidskenmerk 
mag de werking van een stemprinter en stemmenteller niet negatief beïnvloeden. Het 
echtheidskenmerk moet visueel door een mens zonder hulpmiddelen te controleren zijn. De vorm 
van de hologramfolie (en/of de bedrukking) danwel de vorm van de perforatie verschilt per 
verkiezing en wordt door de overheid bepaald. 

Het onbedrukte papier waarop de keuze van de kiezer wordt geprint is voorgevouwen. 

Apparatuur 

De stemprinter en stemmenteller moeten, in verband met eventueel gebruik bij verkiezingen in 
Caribisch Nederland, kunnen functioneren bij verschillende klimatologische (waaronder tropische) 
omstandigheden, verschillende voltages (minimaal 110V en maximaal 240V) en netfrequenties 
(minimaal 50Hz en maximaal 60Hz). De apparatuur moet kunnen functioneren bij 
omgevingstemperaturen tussen de 10 en 35°C en een relatieve vochtigheid tussen de 10 en 85% 
(niet condenserend). 

De stemprinter en stemmenteller moeten opgeslagen kunnen worden bij omgevingstemperaturen 
tussen de 5 en 45°C en een relatieve vochtigheid tussen de 10 en 85% (niet condenserend). 

Iedere stemprinter, stemmenteller en elektronische token is voorzien van een uniek zichtbaar 
nummer. 

De stemprinter en stemmenteller worden geleverd met een afsluitbare (transport-)behuizing 
waarin de stemprinter en stemmenteller in diens onderdelen vervoerd en opgeslagen kan worden. 

In gebruik produceert een stemprinter en stemmenteller op 1 meter afstand niet meer dan 42dBa 
aan geluid, exclusief het geluid dat de stemprinter of stemmenteller produceert voor auditieve 
meldingen en tijdens printen. 
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Standaarden en normen 


Uitsluitend open standaarden worden toegepast. 

De programmatuur - ook de maatwerk programmatuur - is uitsluitend open source. De 
ontwikkelde maatwerk programmatuur wordt eigendom van de overheid. 

Voor de elektronische representatie van verkiezingsgegevens en telresultaten wordt het EML-NL 
formaat gebruikt (zie https://www.kiesraad.nl/artikel/eml-standaard). 

De werkzaamheden voor de ontwikkeling, onderhoud en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens moet plaatsvinden onder een geldige ISO 9001 
certificering. Deze ISO-9001-certificering moet ook het onderhouden en ondersteunen van ICT- 
systemen omvatten. Het ISO-certificaat moet zijn afgegeven door een daartoe geaccrediteerde 
auditor. 

De werkzaamheden voor de ontwikkeling, onderhoud en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens moet plaatsvinden onder een geldig ISO 27001 
certificering voorde informatiebeveiliging, die het onderhouden en ondersteunen van ICT- 
systemen omvat. Het ISO-certificaat moet zijn afgegeven door een daartoe geaccrediteerde 
auditor. 

De apparatuur is CE-gemarkeerd of aantoonbaar gelijkwaardig en voldoet aan alle van toepassing 
zijnde Europese richtlijnen en Nederlandse regelgeving m.b.t. gezondheid, veiligheid, welzijn, 
omgeving en milieu, waaronder ook RoHS II. 

De apparatuur moet voldoen aan de eisen van Energy Star, conform het besluit van de Europese 
Commissie 2009/489/EG over energie-efficiëntie voor computerapparatuur. 

De gebruikersinterface voldoet aan de richtlijnen van het Web Accessibility Initiative (WAI). 

Prestaties 


Stemprinters en stemmentellers moeten gemiddeld gedurende de verkiezingsdag een 
beschikbaarheid hebben van minimaal 99,8%. 

De stemprinter en stemmenteller zijn bestand tegen matig fysiek geweld. 

De stemprinter en stemmenteller zijn geschikt om gedurende de verkiezingsdag volcontinue en 
ononderbroken aan te staan, dat wil zeggen: de stemprinter minimaal 14 uur achtereen actief in 
gebruik en de stemmenteller minimaal 5 uur vol continue actief in gebruik. 

De apparatuur heeft een hoog energie-efficiënte voeding, met tenminste 85% efficiency bij 50% 
systeembelasting. 

De stemprinter en stemmenteller kunnen bij stroomuitval nog minstens 10 minuten functioneren 
alvorens de programmatuur waaronder ook het besturingssysteem af te sluiten en het apparaat uit 
te schakelen. 

Een stemprinter heeft een stroomverbruik van maximaal 500watt. 
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De werking van de stemprinter en stemmenteller wordt niet beïnvloed door de aanwezigheid in de 
directe omgeving van andere apparatuur, zoals Smartphones en draadloze smartcards. 

De stemprinter en stemmenteller moeten schoon te maken zijn met schoonmaakmiddelen die 
gangbaar, d.w.z. veelvoorkomend, en vrij verkrijgbaar zijn. 

De stemprinter en stemmenteller moeten onderhoudsarm zijn, dat wil zeggen dat het onderhoud 
alleen bestaat uit schoonmaken en het vervangen van verbruiksmaterialen (zoals inktcardtridges 
en papier). 

De stemprinter en stemmenteller moeten gedurende 8 jaar gebruikt kunnen worden voor 
gemiddeld 10 (al dan niet gelijktijdige) verkiezingen per jaar. 

De stemprinter kan minimaal 100.000 stemprints maken. 

De stemmenteller kan minimaal 600.000 keer een stembiljet scannen, tellen en voorzien van een 
volgnummer. 

De stemmenteller kan minimaal 200 keer een telstrook printen van een minimaal 100 pagina's. 

In de 8 jaar van gebruik moeten de stemprinters en stemmentellers met gebreken/ defecten/ 
storingen gerepareerd of vervangen te kunnen worden. Om dit te realiseren dient een afdoende 
voorraad identieke reserve onderdelen voorhanden te zijn. Dat is nodig omdat zowel de Common 
Criteria certificering (voor stemprinter en stemmenteller) als SDIP 27/1 level A certificering (voor 
stemprinter) uitgaan van samenstelling uit identieke onderdelen als de geëvalueerde versies. 
Bovendien wil de overheid geen verschillende versies hebben van de apparatuur van de 
stemprinters en stemmentellers om te voorkomen dat bij wijzigingen in programmatuur meerdere 
configuraties moeten worden getest. 

Beveiliging - Common Criteria 

Algemeen 

De stemprinter en stemmenteller moeten Common Criteria gecertificeerd worden conform de 
hiertoe opgestelde Protection Profiles, die bij dit document zijn bijgevoegd. De Protection Profiles 
gaan uit van een bescherming tegen de meest geavanceerde aanvaller die de Common Criteria 
onderkent, een zogenaamde "High Attack Potential". 

Volgens de Common Criteria vinden voor de certificering testen en controles door het evaluerend 
laboratorium alleen plaats op prototypes. Door fouten of wijzigingen in het productieproces (bewust 
of onbewust) is niet uit te sluiten dat uitgeleverde exemplaren niet identiek zijn aan de 
beoordeelde prototypes. Om dat risico uit te sluiten is in de Protection Profiles een maatregel 
opgenomen dat een evaluerend laboratorium voor elk geproduceerd exemplaar vaststelt dat deze 
identiek is aan het geëvalueerde exemplaar. 

De Common Crriteria certificering van volledige systemen is nog geen gemeengoed. Het aantal 
leveranciers dat ervaring heeft met Common Criteria certificeringen is daarom relatief gering. 
Ervaring met Common Criteria certificering op een niveau van EAL 4 of hoger wordt noodzakellijk 
geacht voor een succesvolle ontwikkeling van de stemprinter en stemmenteller. 
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Beveiliging van de stemprinter en stemmenteller 


De Protection Profiles geven het kader voor de beveiligingsmaatregelen die moet worden toegepast 
op de stemprinter en stemmenteller. De Protection Profiles gaan ervan uit dat: 

• De stemprinter/stemmenteller beschermd zijn tegen manipulatie; 

• Het niet mogelijk moet zijn om beveiligingsmaatregelen te omzeilen. 

Omdat de Common Criteria systematiek voor leken niet toegankelijk is, is hieronder (niet limitatief) 
een aantal bepalende beveiligingsmaatregelen uit de Protection Profiles opgesomd. Achter elke 
beveiligingsmaatregel is tussen haakjes de afkorting van de maatregel vermeld die verwijst naar 
hoofdstuk 6 (Security Requirements) in de Protection Profiles. 

• De stemprinter en stemmenteller hebben een beveiligingsmechanisme dat detecteert of 
geprobeerd wordt de (fysieke) beveiliging te doorbreken. Wordt een dergelijke poging 
gedetecteerd dan komen de stemprinter en stemmenteller in een status die het onmogelijk 
maakt de systemen te gebruiken voor het printen van stembiljetten en het tellen ervan 
(FAU_ARP.1//FPT_PHP.2/FPT_PHP.3). 

• De stemprinter/stemmenteller hebben een zelftestmechanisme waarmee de systemen als ze 
aanstaan de goede werking van programmatuur en apparatuur vaststellen (FPT_TST.1); 

• Er is een mogelijkheid de authenticiteit van programmatuur en apparatuur is vast te stellen. 
Voor programmatuur moet dan gedacht worden aan oplossingen zoals een Trusted Platform 
Module (FPT_TST. 1). 

• De log is beschermd tegen omgeautoriseerd wijzigen en verwijderen (FAU_STG.1); 

• Als de log vol raakt komen de stemprinter en stemmenteller in een status die het onmogelijk 
maakt de systemen te gebruiken voor het printen van stembiljetten en het tellen ervan 
(FAU_STG.4). 

• De authenticiteit van de log is vast te stellen aan de hand van een digitale handtekening 
(FPD_DAU. 1). 

• Uit ondermeer elektromagnetische straling, geluid, stroomverbruik en afgifte van hitte van een 
stemprinter mag een keuze die een kiezer maakt op een stemprinter niet te achterhalen zijn 
(FPT_EMSEC.1). 

• De informatie over keuzes die kiezers maken op de stemprinter mogen niet (permanent) 
worden opgeslagen. Onderkend wordt dat om het stembiljet te printen het vermoedelijk 
onontkoombaar zal zijn dat informatie over de gemaakte keuzes tijdelijk opgeslagen wordt. In 
dat geval zal na het printen van het stembiljet, de informatie over de keuzes moeten worden 
gewist op een dusdanige wijze dat met vrij verkrijgbare hulpmiddelen en technieken geen 
sporen van de keuzes van de kiezer meer te achterhalen zijn. Bijgevoegd bij dit document is 
een uiteenzetting van de verwijdermethodieken die geschikt zijn om gegevens goed te 
verwijderen. De ervaring leert namelijk dat het gebruiken van standaard verwijdermethoden, 
zoals het geven van een verwijder commando, niet volstaat (FDP_RIP.2). 

Evaluatie ten behoeve van Common Criteria certificering 

Voor de Common Criteria certificering vindt een evaluatie plaats door een daartoe geaccrediteerd 
laboratorium (de evaluator). De overheid bepaalt welk evaluerend laboratorium de evaluatie 
uitvoert. De overheid krijgt inzage in alle documentatie, evaluatierapporten en observatierapporten 
die met evaluator en certificerende instantie worden uitgewisseld. De overheid krijgt ook inzage in 
de kwetsbaarheden in stemmenprinter en stemmenteller die tijdens de evaluatie zijn ontdekt maar 
een certificering niet in de weg staan. 
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Voor evaluatie van stemprinter/stemmenteller geldt dat (tussen haakjes is een verwijzing 
opgenomen naar deel 3 van de Common Criteria): 

• De gebruikersdocumentatie van stemprinter den stemmenteller alle functionaliteit van een 
stemprinter/stemmenteller moet omvatten en duidelijk moet maken hoe de 
stemprinter/stemmenteller op een veilige manier gebruikt moet worden (AGE_OPE.l). 

• Beschreven is op welke wijze de stemprinter en stemmenteller op een veilige wijze wordt 
klaargemaakt voor gebruik (AGD_PRE.1). 

• Uit beveiligingsdocumentatie moet blijken dat de beveiligingsmaatregelen voor het ontwerpen 
en ontwikkelen van de stemprinter/stemmenteller afdoende bescherming bieden waardoor de 
integriteit van de stemprinter/stemmenteller is gewaarborgd (ALC_DVS.2). 

• Alle beveiliging gerelateerde functionaliteit moet zijn getest door degene die de stemprinter en 
stemmenteller heeft ontwikkeld (ATE_DPT.1, ATE_FUN.1). 

• Door de evaluator wordt een broncode-analyse uitgevoerd. Hiervoor moet de broncode van alle 
onderdelen van een stemprinter en stemmenteller voor de evaluator beschikbaar zijn, zowel 
maatwerk programmatuur, standaard programmatuur, firmware, als de hardware diagrammen 
die gebruikt worden om de hardware te maken. Bij de selectie van componenten voor de 
stemprinter en stemmenteller moet dus zeker gesteld worden dat van alle onderdelen de 
broncode en de hardware diagrammen beschikbaar zijn (ADV_IMP.1). 

Onderdeel van de evaluatie zijn ook testen die door de evaluator worden uitgevoerd: 

• De evaluator test de beveiliginggerelateerde functionaliteit (ATE_IND.2); 

• De evaluator voert een methodische kwetsbaarheidsanalyse uit op de stemprinter/ 
stemmenteller waarbij alle beschikbare documentatie in ogenschouw wordt genomen. Op basis 
van het resultaat van deze kwestbaarheidsanalyse voert de evaluator penetratietesten uit om 
vast te stellen dat de stemprinter/stemmenteller bestand is tegen aanvallen met een hoog 
aanvalsniveau (AVA_VAN.5). 

Beveiliging - compromitterende straling 

De stemprinter moet een certificering hebben tegen de NATO-norm SDIP-27/1 Level A. 

Omdat de NATO-norm SDIP-27/1 geheim is, moet een leverancier die gecertificeerd is om te 
werken met deze norm betrokken worden bij het maken van het ontwerp, de selectie van 
componenten, de assemblage en testen van stemprinters. Medewerkers van andere leveranciers 
die betrokken zijn bij de ontwikkeling van stemprinters, maar die niet voor het werken met de 
NATO-norm SDIP-27/1 zijn gecertificeerd, mogen geen kennis nemen van deze norm en van 
daaraan gerelateerde aspecten, zoals het uitvoeren van stralingsmetingen en het inzien van 
meetuitkomsten. 

De te maken stemkeuzes zijn relatief beperkt. Bij een referendum zijn dat er maar 3 en bij een 
lijstverkiezing een tiental lijsten en bij elke lijst enkele tientallen kandidaten. Daarbij kan een 
afluisteraar maar geïnteresseerd zijn in 1 gegeven, heeft een kiezer een bepaalde stemkeuze 
gemaakt of juist niet. Het moet niet mogelijk zijn uit de aan- of juist afwezigheid van een 
karakteristiek stralingsbeeld het al dan niet maken een bepaalde stemkeuze door een kiezer te 
achterhalen. Dat aspect moet in de SDIP-27/1 Level A certificering in de definitie van te meten 
mogelijke compromitterende straling (zogenaamde RED signals) worden meegenomen. Bij het 
bepalen wat een succesvolle afluisterpoging is, moet de bij dit document gevoegde uitwerking 
worden gevolgd. 
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De bescherming tegen compromitterende straling moet bestand zijn tegen het verwachte gebruik 
van een stemprinter in opslag, bij verkiezingen en vervoer van en naar het stemlokaal. Dit moet 
worden aangetoond met een SDIP-27/1 Level A certficeringsmeting van prototypes die zijn 
onderworpen aan behandelingen (trillingen, vallen, temperatuurwisselingen, 

vochtigheidwisselingen, aanraking met stof en vuil, gebruik van de bewegende delen gedurende de 
verwachte gebruiksduur, etc) die representatief zijn voor het verwachte gebruik. 

Bij de bescherming tegen compromitterende straling moeten de bij dit document gevoegde 
richtlijnen worden gevolgd. Dat houdt bijvoorbeeld voor het scherm van een stemprinter en de 
aansturing van het scherm in dat zo weinig mogelijk omzettingen van het videosignaal moeten 
plaatsvinden, er bij voorkeur gebruik gemaakt wordt van een Displayport verbinding en geen VGA, 
DVI en HDMI verbindingen. Compromitterende straling die niet preventief weggenomen kan 
worden door het inzetten van stralingsarme componenten en verbindingen, moeten met 
afschermende maatregelen worden tegengehouden. Dat betreft dan ondermeer een metalen 
behuizing, het met metaal omwikkelen van interne kabels en verbindingen en het plaatsen van 
filters op kabels. 

De RF-lezer om draadloze elektronische tokens uit te lezen moet uitgeschakeld zijn op het moment 
dat stemkeuzen worden gemaakt en geprint en mag pas weer worden ingeschakeld als gemaakte 
stemkeuzen en sporen daarvan uit de stemprinter zijn gewist. 

Een defecte stemprinter wordt vervangen door een ander exemplaar. Dat is nodig omdat een 
reparatie van een stemprinter of vervanging van componenten kan leiden tot compromitterende 
straling en een meting moet plaatsvinden conform de NATO-norm SDIP-27/1 Level A. Zo'n test kan 
niet op locatie bij een gemeente worden uitgevoerd, maar moet in een speciale afgeschermde 
meetkamer plaatsvinden. 

Beleid ten aanzien van beveiliging 

De systemen en netwerken die gebruikt worden voor het ontwikkelen, produceren, onderhouden, 
verbeteren, testen en distribueren van de stemprinters, stemmentellers en elektronische tokens 
moeten beveiligd zijn tegen dreigingen en risico's, zowel van buiten als binnen de organisatie(s) 
die hiermee is/zijn belast. 

Minimaal jaarlijks zal de overheid door een onafhankelijke partij een dreigings- en risicoanalyse 
laten opstellen. Deze dreigings- en risicoanalyse geeft dreigingen en risico's aan ten gevolge van 
mensen, technisch falen en rampen. De analyse geeft aan welke maatregelen getroffen moeten 
worden om de geïdentificeerde (nieuwe) dreigingen weg te nemen. Deze maatregelen moeten 
vervolgens worden geïmplementeerd. 

Calamiteiten c.q. (beveiligings)incidenten mbt ontwikkelen, onderhoud en ondersteuning van 
stemprinters, stemmentellers en elektronische tokens inclusief vermoedens van onterechte 
handelingen (bewust of onbewust) worden vastgelegd en zo spoedig mogelijk opgelost. Voor 
calamiteiten c.q. (beveiligings)incidenten inclusief vermoedens van onterechte handelingen 
(bewust of onbewust) wordt registratiesysteem gebruikt waarin: 

• van elke calamiteit c.q. incident actuele informatie wordt bijgehouden over de aard, de ernst 
en de duur van de calamiteit c.q. incident; 

• aan elke calamiteit c.q. incident een prioriteit wordt toegekend door classificatie van de impact 
en de ernst; 
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• van elke calamiteit c.q. incident de wijze van afhandeling wordt geregistreerd; 

• van elke calamiteit c.q. incident de historie wordt bewaard. 

Periodiek, bijvoorbeeld elke maand, moet aan de overheid worden gerapporteerd over alerteringen 
van ICT gerelateerde dreigingen die zijn geïnventariseerd en over het onderzoek dat naar 
aanleiding daarvan is uitgevoerd in het geval analyse heeft uitgewezen dat een alertering relevant 
is voor de stemprinter, stemmenteller, elektronische tokens en/of voor de systemen en netwerken 
die worden gebruikt voor het ontwikkelen, onderhouden en ondersteunen daarvan. Daarvoor wordt 
gebruik gemaakt van alerteringsdiensten waarmee ICT gerelateerde dreigingen geïdentificeerd en 
aangekondigd worden. Daarbij wordt ook nagegaan welke updates of vervanging van de 
standaardprogrammatuur op stemprinters en stemmenteller noodzakelijk zijn (zoals updates van 
het operating system en beveiligingssystemen). Op basis van de uitkomsten van het beoordelen 
van de dreigingen en risico's worden voorstellen gedaan voor de verbetering van de stemprinter, 
stemmenteller, elektronische tokens en de daaraan gerelateerde ICT-systemen om nieuwe 
geïdentificeerde dreigingen te kunnen weerstaan. De overheid besluit op deze voorstellen. 

Gewaarborgd is dat alleen daartoe geautoriseerde medewerkers toegang hebben tot de apparatuur 
en wijzigingen kunnen doorvoeren in programmatuur, documentatie en andere informatie die 
betrekking heeft op het ontwikkelen, onderhouden en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens. 

Op locaties die worden gebruikt voor ontwikkelen, onderhoud en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens zijn maatregelen genomen om het risico te minimaliseren 
van brand, explosies, rook, stof, trillingen, chemische reacties, wateroverlast, langdurige 
stroomuitval, interferentie via de elektriciteitsvoorziening, blikseminslag, elektromagnetische 
straling en aanslagen. Hieronder vallen in ieder geval de volgende maatregelen: 

• Ruimten met apparatuur, programmatuur, documentatie, registraties en andere gegevens die 
worden gebruikt voor het ontwikkelen, onderhoud en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens zijn voorzien van een door de brandweer 
goedgekeurde brandmeld- en een brandblusinstallatie; 

• Ruimten met stemprinters, stemmentellers, onderdelen daarvan en elektronische tokens zijn 
voorzien van maatregelen om waterschade te voorkomen; 

• Bij stroomuitval dient in ieder geval de toegangscontrole en de alarminstallatie van de locaties 
die worden gebruikt voor het ontwikkelen, onderhoud en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens onverkort te blijven functioneren. 

Toegangscontrole van eigen personeel of ingehuurde medewerkers tot locaties die worden gebruikt 
voor ontwikkelen, onderhoud en ondersteuning van stemprinters, stemmentellers en elektronische 
tokens vindt plaats met minimaal een persoonlijke toegangskaart die voorzien is van een foto van 
de medewerker. Van de uitgegeven en ingehouden toegangskaarten wordt een registratie 
bijgehouden. 

Toegangscontrole van bezoekers tot locaties die worden gebruikt voor ontwikkelen, onderhoud en 
ondersteuning van stemprinters, stemmentellers en elektronische tokens vindt plaats met minimaal 
een toegangskaart die zichtbaar gedragen moet worden en waaruit blijkt dat sprake is van een 
bezoeker. 

• Bezoekers moeten altijd vergezeld zijn door eigen personeel. 

• Iedere bezoeker identificeert zich met een geldig legitimatiebewijs. 
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• Er vindt registratie plaats van de bezoekers van het gebouw, zowel bij binnenkomst als 
vertrek. 

Als ongeautoriseerd toegang wordt verkregen tot de locaties die worden gebruikt voor ontwikkelen, 
onderhoud en ondersteuning van stemprinters, stemmentellers en elektronische tokens wordt dit 
onmiddellijk gevolgd door tegenmaatregelen. 

Beveiligingspersoneel ziet erop toe dat een toegangskaart alleen door de rechtmatige houder 
gebruikt wordt en dat personen die het gebouw en terrein uitgaan zich aan de 
beveiligingsvoorschriften houden. 

In een sluitende administratie wordt bijgehouden op welke tijdstippen welke toegangspassen zijn 
gebruikt om toegang te krijgen tot de ruimten die worden gebruikt voor ontwikkelen, onderhoud en 
ondersteuning van stemprinters, stemmentellers en elektronische tokens. 

Buiten de tijden dat er gewerkt wordt, dienen ruimten die worden gebruikt voor ontwikkelen, 
onderhoud en ondersteuning van stemprinters, stemmentellers en elektronische tokens afgesloten 
te zijn en de alarminstallatie van de betreffende ruimte dient ingeschakeld te zijn. 

De locatie(s) die gebruikt worden voor ontwikkelen, onderhoud en ondersteuning van stemprinters, 
stemmentellers en elektronische tokens zijn beveiligd, zodat personen het terrein niet ongemerkt 
kunnen betreden en verlaten. 

In de locaties en ruimten die worden gebruikt voor ontwikkelen, onderhoud en ondersteuning van 
stemprinters, stemmentellers en elektronische tokens zijn brand- en rookmelders geïnstalleerd 
zodat een eventuele brand tijdig gedetecteerd wordt en bestreden kan worden. 

Op de locaties die worden gebruikt voor ontwikkelen, onderhoud en ondersteuning van 
stemprinters, stemmentellers en elektronische tokens wordt een zogenaamde clean-desk policy 
toegepast. 

Eigen personeel en ingehuurde medewerkers die direct of indirect betrokken zijn bij het 
ontwikkelen, onderhoud en ondersteuning van stemprinters, stemmentellers en elektronische 
tokens beschikken over een Verklaring Omtrent het Gedrag (VOG) - of een vergelijkbare verklaring 
indien de medewerker niet in Nederland woont - die maximaal 1 jaar oud is op het moment dat de 
werkzaamheden moeten worden uitgevoerd. De verklaring moet derhalve minimaal 1 keer per jaar 
opnieuw worden aangevraagd en verkregen. 

Toegang tot de locaties die worden gebruikt voor ontwikkelen, onderhoud en ondersteuning van 
stemprinters, stemmentellers en elektronische tokens door of namens de gebouwbeheerder c.q. 
verhuurder is slechts mogelijk voor personeel in het bezit van een Verklaring Omtrent Gedrag 
(VOG) - of een vergelijkbare verklaring indien de medewerker niet in Nederland woont - van 
maximaal 1 jaar oud en uitsluitend in aanwezigheid van een eigen medewerkers. 

Niet in gebruik zijnde fysieke sleutels van ruimten met apparatuur, programmatuur, documentatie, 
registraties en andere gegevens die betrekking hebben op het ontwikkelen, onderhoud en 
ondersteuning van stemprinters, stemmentellers en elektronische tokens dienen opgeborgen te 
worden in een kluis die voldoet aan EN 14450 S2. 


25 



Af te stoten apparatuur en media met gegevens of programmatuur moeten voor het afstoten zijn 
gewist, d.w.z. alle gegevens en programmatuur moeten onherstelbaar zijn verwijderd. Er mag uit 
niets blijken dat de apparatuur en media ooit ingezet zijn geweest ten behoeve van verkiezingen. 
De methode van wissen moet ter goedkeuring aan de overheid worden voorgelegd. 

Elektronische tokens dienen bewaard te worden in een kluis met inbraakbestendigheid volgens EN 
1143-1 klasse 1 en een brandwerendheid volgens EN 1047-1 S 120 DIS. 

Voor het uitgeven van sleutels en certificaten (voor ondermeer elektronische tokens) wordt gebruik 
gemaakt van een PKI waarvoor geldt: 

• De PKI moet voldoen aan ETSI TS-02042 niveau NCP+. 

• Het voldoen aan ETSI TS-102042 niveau NCP+ moet zijn vastgesteld door een daartoe 
geaccrediteerde externe auditor. Met de overheid wordt afgestemd door welke auditor de audit 
wordt uitgevoerd. 

• Cryptografische sleutels worden gegenereerd volgens ETSI TS 102 176-1, v 2.0.0 (2007-11). 

• Voor het genereren van sleutels en het opslaan van sleutels die gebruikt worden voor het 
uitgeven van certificaten moet gebruik gemaakt worden van een Hardware Security Module 
(HSM) die voldoet aan 1 van onderstaande normen: 

• FIPS PUB 140-1 niveau 3 of hoger; 

• FIPS PUB 140-2 niveau 3 of hoger; 

• BSI-PP-0004-2002T Protection Profile - Secure Signature Creation Device Type 1, Version 
1.05; 

• BSI-PP-0005-2002T Protection Profile - Secure Signature Creation Device Type 2, Version 
1.04; 

• BSI-PP-0006-2002T Protection Profile - Secure Signature Creation Device Type 3, Version 
1.05; 

• BSI-PP-0036-2008: Cryptographic Modules Security Level "Enhanced" Version 1.01. 

• De gebruikte cryptografische algoritmen, handtekening algoritmen en de lengte van sleutels 
worden afgestemd met de overheid. De gebruikte algoritmen moeten gepubliceerd en daarmee 
voor iedereen toegankelijk zijn. 

Ontwikkeling en doorvoeren van wijzigingen van de stemprinter. de stemmenteller en elektronisch 
tokens 


Voor het ontwikkelen en het onderhouden van de stemprinters en stemmentellers moet een 
ontwikkelomgeving beschikbaar zijn. De ontwikkelomgeving bevat alle apparatuur en 
programmatuur die nodig is om de programmatuur van stemprinters en stemmentellers te kunnen 
aanpassen. 

Voor het doorvoeren van wijzigingen in apparatuur en programmatuur (van welke aard ook) van de 
stemprinters en stemmentellers is vooraf schriftelijke toestemming nodig van de overheid. 

Uitsluitend na instemming van de overheid worden updates op stemprinters en stemmentellers 
verspreid naar gemeenten. 

De ontwikkeling en verbetering van programmatuur moeten voldoen aan de volgende 
programmeerrichtlijnen: 

• Er wordt defensief programmeren toepast. Door defensief programmeren wordt geborgd dat 
alle voorkomende gebeurtenissen op een voorspelbare wijze worden verwerkt dan wel tot een 
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gespecificeerde foutafhandeling leiden. Er mogen bij de afhandeling van gebruikersacties en 
berichten geen situaties optreden die leiden tot ongewenst en niet gespecificeerd gedrag; 

• Er wordt gebruik gemaakt van best practices voor programmeren, die door de overheid worden 
onderschreven; 

• Er wordt gebruik gemaakt van gestandaardiseerde en gedocumenteerde programmeertalen; 

• Er wordt gebruik gemaakt modulair programmeren met goed gedefinieerde interfaces; 

• Er wordt in de broncode betekenisvol commentaar gebruikt; 

• Er wordt gebruik gemaakt van gedocumenteerde naamconventies voor modules, procedures, 
functies, variabelen en andere onderdelen van de programmatuur en op het toepassen daarvan 
vindt een controle plaats; 

• Er wordt geen gebruik gemaakt van programmatuur die de code wijzigt (self modifying code), 
anders dan ten behoeve van het updaten van programmatuur. Er wordt geen gebruik gemaakt 
van programmatuurconstructies die kunnen leiden tot het ongewenst wijzingen van code; 

• De programmatuur, of onderdelen daarvan, accepteert alleen gespecificeerde invoer, en geen 
andere invoer dan de gespecificeerde invoer. Alle invoer die niet expliciet voldoet aan de 
opgestelde specificaties, zowel van buitenaf als in de programmatuur zelf, wordt niet alleen 
expliciet geweigerd voor verdere verwerking, maar de reden van weigering wordt ook gelogd; 

• De programmatuur zal bij invoer die aan de specificaties voldoet, altijd tot gewenst gedrag 
leiden; 

• De programmatuur bevat geen constructies of componenten die niet strikt noodzakelijk zijn 
voor het toepassen van de functionaliteit en/of het realiseren van de gestelde eisen; 

• De componenten van de programmatuur vereisen alleen rechten die strikt noodzakelijk zijn 
voor de toepassing van de functies. Hierbij wordt expliciet vereist dat de benodigde rechten 
geen mogelijkheden mogen openen om andere dan de bedoelde functionaliteit uit te voeren; 

• De programmatuur is opgebouwd uit meerdere componenten waarbij afwijkend gedrag van 
componenten niet tot ongewenst gedrag van de hele programmatuur leidt; 

• Componenten en functies/methoden kennen slechts één enkel doel (het zogenaamde Single 
Responsibility Principle); 

• Dezelfde code komt niet meerdere malen terug in programmatuur (geen code duplicatie), 
tenzij daar een ontwerpkeuze aan ten grondslag ligt die door de overheid wordt 
onderschreven; 

• De semantiek van gebruikte functies/methoden is eenduidig; 

• De interne opbouw van componenten/functies/methoden is van dien aard dat duidelijk is hoe 
de code geëxecuteerd wordt en waar de uitvoering beëindigd wordt; 

• De afwikkeling van een functie/methode mag niet afhankelijk zijn van objecten of 
gebeurtenissen buiten die functie/methode tenzij dit expliciet noodzakelijk is voor het 
realiseren van functionaliteit; 

• Foutsituaties moeten gedetecteerd en expliciet afgehandeld worden; 

• Logging moet altijd leiden tot informatie die specifiek genoeg is om een probleem te 
detecteren, analyseren en op te lossen, maar geen naar een persoon te herleiden gegevens 
bevatten. 

Als onderdeel van het kwaliteitsbeleid dient een toetsing plaats te vinden op de ontwikkelde code 
of een wijziging daarop door een andere programmeur dan degene die de code heeft geschreven 
conform in overeenstemming is met de specificatie en met de hiervoor gespecificeerde 
programmeerrichtlijnen. De uitkomst van de toetsing alsmede de afwikkeling ervan wordt 
gedocumenteerd en is altijd in te zien door de overheid. 

Om aan te tonen dat hetgeen is ontwikkeld voldoet aan de specificatie worden alle testen 
uitgevoerd die nodig zijn om de goede werking van de stemprinter en stemmenteller aan te tonen. 
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Regressietesten, functionele testen, systeemtesten, stresstesten en beveiligingstesten, waaronder 
penetratietesten, maken in ieder geval onderdeel uit van de testen. 

Fysieke distributie, onderhoud en ondersteuning 

De stemprinters, stemmentellers, bijbehorende elektronische tokens en documentatie worden 
gedistribueerd naar gemeenten en openbare lichamen van Bonaire, Saba en Sint Eustatius. Tot en 
met afleveren op de locatie moeten pakketten te traceren zijn. 

Na elke verkiezing worden alle gemeenten en openbare lichamen bezocht en wordt een revisie 
uitgevoerd om vast te stellen of stemprinters en stemmentellers geschikt zijn om gebruikt te 
worden voor een volgende verkiezing. Verbruiksmaterialen die niet bij een volgende verkiezing 
gebruikt kunnen worden, worden uit de stemprinter/stemmenteller gehaald. Indien nodig wordt de 
apparatuur schoongemaakt, wordt aan een stemmenteller een reparatie uitgevoerd of wordt indien 
reparatie van een stemmenteller ter plekke niet mogelijk is (bij een stemprinter is dat uit oogpunt 
van compromitterende straling altijd het geval) een apparaat omgeruild voor een vervangend 
exemplaar en wordt dit vervangen exemplaar geconfigureerd zodat de gemeente deze met de 
aldaar beschikbare elektronische tokens in gebruik kan nemen. Na de revisie worden de log en 
verkiezingsgegevens van de stemprinters en stemmentellers verwijderd. 

Verbruiksmaterialen voor stemprinters en stemmentellers moeten gedurende 8 jaar geleverd 
kunnen worden. 

In een registratie wordt per gemeente en openbare lichamen de contactgegevens bijgehouden, 
welke stemprinters en stemmentellers en elektronische tokens er staan, naar onderweg zijn of 
retour komen en de unieke identificatie van de betreffende stemprinters, stemmentellers en 
elektronische tokens. 
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